ctf Bugku-社工-初步搜集

最新推荐文章于 2024-05-16 10:07:09 发布
最新推荐文章于 2024-05-16 10:07:09 发布
阅读量690 收藏
点赞数 1
分类专栏: ctf试题 文章标签: 单元测试 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43754288/article/details/120827659
版权

bugku -社工-初步搜集

在这里插入图片描述

这里是网站主页,查看源码什么都没有发现,进行敏感路径扫描
在这里插入图片描述
这里使用的是dirsearch进行扫描,这里扫描到了登录,
在这里插入图片描述
打开网页出现登录界面,尝试admin登录,发现失败了,这是,原网站只提供了一个下载连接,下载下来,是一个exe文件。
在这里插入图片描述在这里插入图片描述

打开后为下面界面:
在这里插入图片描述
我们输入账号密码进行测试,没有信息,进行抓包测试,我利用的是wireshark,发现了user,pass和一个邮箱
在这里插入图片描述
对pass进行解码
在这里插入图片描述
得到后我们在登录界面输入账号密码进行测试,显示密码错误
在这里插入图片描述
那我们进行邮箱的登录:
登录失败
在这里插入图片描述
经过查询邮箱可以通过密码和授权码登录,那我们利用授权码进行登录尝试
利用的是安卓模拟器的qq邮箱,这里我们登录成功,进入到了邮箱:
在这里插入图片描述
查看里面的内容:在Archive中发现了账号密码,进行登录
在这里插入图片描述
登录成功,进入到界面中
在这里插入图片描述
在网站设置里发现了flag。

在这里插入图片描述

有更好的方法欢迎讨论。

Strawberry.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
bugku-writeup-web--初步收集
dark的博客
06-18 686
题目:-ch
ctf-all-in-one
01-30
ctf-all-in-one
Bugku ——初步收集
qq_52696970的博客
07-18 905
——初步收集 启动场景后可以看到有下载辅助的选择,点击即可下载一个登录器 看了一下网页源码没发现就用burpsuit抓包也没有任何发现,然后就用御剑扫路径,发现一个登录网站,接下来就是找到这个网站的密码登录 先随便输入账号密码再对这个网站抓包,看看源代码,尝试暴力破解: 1.右击请求头文件,选择send to intruder: 2.进入intruder下target栏目,根据被攻击网站来设置host和port,但是因为跳出的是弹窗的原因抓包无法抓到密码和用户所以不考虑暴力破解。 换一种思路,打开刚才
Bugku--初步收集
热门推荐
m0_46736332的博客
05-04 1万+
Bugku--初步收集 虽说是初步,对于一个我这给ctf新手来说还是挺绕的 启动场景 本能反应,先扫路径。 扫路径的同时,先抓包,f12啥的看看(因为ctf经常出现这种玩法) 抓包,f12等没有任何发现 这是扫出了敏感路径 访问 下一步就是获取账号名和密码了,先一波抓包,f12试试运气,修改包绕过失败,爆破失败,看来是要老老实实找账号密码了 在提供的靶场中除了提供一个下载连接,什么都没有,下载下来看看 先想到的是逆向,无奈不会,登录一下试试 本能抓包,这里使用 wireshark ..
带你上分,顺便拿下CTF|BugKu 程学
最新发布
baimao__Ch的博客
05-16 378
题干: 姓名:张三 生日;19970315 KEY格式KEY{xxxxxxxxxx}解析: 直接首字母zs,生日,就行答案: flag{zs199970315}
BUGKU-WEB -初步收集
天泽岁月
02-15 1728
BUGKU-WEB -初步收集,授权码变了....
BUGKU web -初步收集
qq_75120258的博客
09-27 145
其实是杂项,勉强算吧。来自当年实战
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
CTF-misc具2-CTF-Tools-masterV1.3.7
08-17
具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该具具备智能判断密码...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
BugKu-CTF(web篇)----初步收集
Nailaoyyds的博客
03-07 1127
思路: 第一个思路就是先扫子目录,寻找出有效的敏感文件。 扫完子目录以后也没有什么有效信息,纯粹浪费时间, 发现有一个登陆框,各种手段爆破不出来,这时候就要换思路了 首页有下载链接,下载一下 是一个小插件 用wireshark抓包分析一下,在流量里边获取用户名和密码以及一个邮箱 密码后边两个等号==,一眼就知道是base64,去做解密 XSLROCPMNWWZQDZL 邮箱+用户+密码 提示很明显了 去试下邮箱登录 也不对。邮箱登录的方式,主流...
【web-ctfctf-pikachu-暴力破解
一个努力生活的人的博客
06-11 2838
文章目录暴力破解(Brute Force)1.基于表单的暴力破解 burpsuite配置 火狐浏览器需要导入证书 如果无法抓到127.0.0.1的包,可以试试以下操作 暴力破解(Brute Force) 1.基于表单的暴力破解 使用burpsuite具中的intruder模块进行暴力破解:intruder模块使用教程 先随便输入一个username和password 利用burpsuite进行抓包 将抓到的包导入intruder模块(在空白处右键,选择send to intruder)
CTF练习题——-进阶收集,小明打了一局CTF追到了小美
Jum的博客
11-26 2600
拿题目 分析题目 重点分析 再次分析 验证结果 拿题目 附件就只有一张图,是QQ空间饿的说说。 分析题目 使用百度识图技术初步判断该图的位置。得到如下重要结果:可以判断出这个是西安的大雁塔,来锁定位置是西安。 接着,从评论中对话,我们大概可以获得以下信息: 1、小美距离大雁塔一共有七站地铁,其中要进行中转。 2、时作者是从始发站出发的,距离下一站有一公里多,距离始发站800多米。 根据地铁的线索我们想着是赶紧去查询西安地铁线路图。西安地铁官网https://...
Bugku-CTF篇之简单的个人信息收集
weixin_30593443的博客
08-14 650
简单的个人信息收集 解题要点:压缩包伪加密、库查询 下载压缩包 发现有密码 先放到winhex里面看看 是个伪加密压缩包 将最后的09改为00(奇数表示加密,偶数表示未加密) 这里扩充一下压缩包伪加密的知识 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x04034b50) 14...
BugKu——Web——-初步收集
m_de_g的博客
08-31 2056
BugKu——Web——-初步收集 一、解题思路 这里可以下载辅助,下载下来的是一个压缩包,不过会被当做病毒处理,设置成信任的即可,解压出来是个*.exe双击启动即可 随便输一个QQ和密码 回显都是哈哈,小别致你被骗了 这里的话,设计一个知识点就是遇到这种开挂的软件或者别的软件时,我们可以查看流量的走向,这里就需要使用具——wireshark就行抓流量包进行分析 因为这里我使用的是WiFi,所以设置的是WLAN 设置好之后,开始启动,刚才的*.exe文件进行运行,就可以抓到流量 可以看到用户
BugKu CTF(杂项篇MISC)—-进阶收集
小司机的奥拓
08-01 632
5.最后试出来是兰乔国际城。这时候你当然需要一份系统性的学习路线如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。一些我收集的网络安全自学入门书籍一些我白嫖到的不错的视频教程:上述资料【点下方卡片】就可以领取了,无偿分享。
BugKuCTF_-初步收集
weixin_47443077的博客
06-01 1003
-初步收集 打开环境后,先bp抓包,检查也没有得到有用的信息。目录扫描试试找后台 找到该后台,发现需要用户名和密码。先别急,找找其他有用信息 在该网页主页发现点击辅助购买这个选项会出现这个界面,点击下载辅助会下载一个压缩包 安装后想试试用Wireshark抓包 不知道能不能得到些什么。。。 抓包开始后随便填写个QQ号和密码,连续点击“开始”,会出现“哈哈,小别致你被骗了”这个弹框,这。。。就可以暂停 仔细观察抓到的包,会发现疑似发包的邮箱和Base64加密的Pass 解码成功!!!但就是不太
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Strawberry.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值